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® Signierung und Signaturprufung von Nachrichten 

@ Verfahren zur Signierung einer Nachricht (22) durch ei- 
v nen Absender (20) und Priifung der Signatur durch einen 
Empfanger, wobei eine Zentrale (10) und etn Empfanger 
(30) iiber einen geheimen gemeinsamen Hauptschlussel 
(11, 11") verfugen, mit den Merkmalen: 

- Die Zentrale (10) 

- erzeugt eine Sequenzzahl (12) und 

- aus dieser unter Verwendung des Hauptschlussels (11) 
mittels einer EinWeg-Verschlusslung (13) einen Signier- 
schlussel (14) und 

- steilt dem Absender den Signierschlussel (14) bereit; 

- der Absender (20) 

- bildet mittels des Signierschliissels (14) eine Signatur 
(22c) uberdie Nachricht (21, 22b) und 

- sendet an den Empfanger einen Nachrichtensatz (22), 
der zumindest die Nachricht (22b) und die Signatur (22c), 
enthalt. 

- Der Empfanger (30) 

- bestimmt die Sequenzzahl (22a*), 

- bildet den mittels der Einweg-Verschlusslung (13') und 
dem Hauptschlussel (IV) einen Prufschlussel (14') und 

- pruft damit die Signatur (22c) der Nachricht. 
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Beschreibung 

Technisches Gebiet 

Die Erfindung betrifft die Signierung und Singnaturprii- 5 
fung von Nachrichten unLer Verwendung geheirner Schliis- 
sel. 

Stand der Technik 

10 

Fiir die Falschungssicherung von Nachrichten ist be- 
kannt, daB mit Hilfe von symmetrischer Kryptographie eine 
Signatur gebildet wird, mittels derer der Empfanger mit sehr 
hoher Wahrscheinlichkeit priifen kann, ob die Nachricht un- 
verfalscht iibermittelt wurde und von dem vorgegebenen 15 
Absender stammt. Voraussetzung ist jedoch, daB Absender 
und Empfanger iiber einen gemeinsamen geheimen Schliis- 
sel verfugen, der sicher gespeichert sein muB. Ein solches 
Verfahren ist bei spiels weise in der Patenschrift 
US 4,549,075 beschrieben. 20 

Symmetrische Kryptographie, insbesondere das DES- 
Verfahren, wird haufig in Chipkarten eingesetzt, weil es sehr 
effizient programmierbar ist. Die Chipkarten weisen femer 
einen Permanentspeicher auf, in dem ein Hauptschlussel si- 
cher geheim gespeichert ist, der auch in einer Zentrale sicher 25 
gespeichert ist. 

Soil nun eine Nachricht faischungsgesichert von einem 
Absender an den Empfanger, hier die Chipkarte, gesendet 
werden, so muB bislang der Absender die Nachricht von der 
Zentrale signieren lassen, da die Zentrale den geheimen 30 
Hauptschlussel nicht dem Absender zur Verfugung stellen 
kann, ohne das Gesamtsystem zu schwachen. Zudem sind 
MaBnahmen notwendig, damit die Nachricht bei der Ober- 
tragung von dem Absender zur Hauptstelle gegen Vferfal- 
schung und Vortauschung eines legitimen Absenders ge- 35 
schutzt ist. 

In der Patentschrift US 5,754,656 wird ein Verfahren dar- 
gestelit, bei dem eine Nachricht, die von einem Terminal 10 
erzeugt wird, von einer Chipkarte 20 mit einem ersten 
Schlusselpaar K(A, C) signiert wird, dann zu einem Host- 40 
rechner 40 geschickt, dort entschliisselt, mit einem zweiten 
Schliisselpaaf K(B, C) neu verschliisselt und dann dem 
Rechner 30 geschickt wird. Hierbei handelt es sich um eine 
bekannte Umschlussiung, bei der die zu signierende Nach- 
richt an eine Zentrale geschickt werden muB, die einen mit 45 
dem vorgesehenen Empfanger gemeinsamen geheimen 
Schiussel hat. 

In den Paten tan meldung EP 0 804 003 A2 und 
DE 197 18 547 Al werden Signaturverfahren mit asymme- 
trischen ('public key') Algorithmen beschrieben, die per se 50 
keine gemeinsamen Hauptschlussel benotigen, aber erheb- 
lich rechenaufwendiger sind als die symmetrischen ('private 
key') Verfahren. 

In der Patentschrift US 5,768,385 und in der Verbffentli- 
chung "Beutelspacher, A., u. a., Chipkarten als Sicherheits- 55 
werkzeug, Berlin 1991, S. 96-71" wird die Signatur wie- 
derum durch eine Zentrale gepriift. 

Aufgabe der Erfindung ist es daher, ein Verfahren zur Fal- 
schungssicherung von Nachrichten durch eine Signatur an- 
zugeben, die von einem Absender gebildet und zu einem 60 
Empfanger gesendet werden kann, ohne daB der Absender 
iiber den geheimen Hauptschlussel verfugt, den der Empfan- 
ger und eine Zentrale gemeinsam haben, oder die Nachricht 
zuvor zu der Zentrale zwecks Signaturbildung gesendet 
werden muS. 65 
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Darstellung der Erfindung 

Die Erfindung benutzt ein Verfahren, bei dem die Zentrale 
Signierschliissel vorab bildet und dem Absender bereitstellt. 
Der Empfanger kann, wie genauer in den Ausfuhrungsbei- 
spielen beschrieben wird, den Signierschlussel nachbilden 
und damit die Nachricht priifen. 

Es handelt sich um ein Verfahren zur Signierung einer 
Nachricht, wobei eine Zentrale und der Empfanger einen 
permanenten gemeinsamen Hauptschlussel haben. Die Zen- 
trale erzeugt vorab eine Sequenzzahl und aus dieser mittels 
einer Einwegfunktion einen Signierschlussel. Beides wird 
gesichert dem Absender bereitstellt. Der Absender bildet 
mittels des Signierschliissels eine Signatur der Nachricht 
und sendet sie mit Sequenzzahl und Nachricht an den Emp- 
fanger. Der Empfanger bildet mittels Einwegfunktion, 
Hauptschlussel und Sequenzzahl einen Priifschlussel und 
priift damit die Signatur der Nachricht. 

Weitere Merkmale und \forteile der Erfindung ergeben 
sich aus der folgenden Beschreibung, welche in Verbindung 
mit den beigefligten Zetchnung die Erfindung an Hand eines 
Ausfiihrungsbeispiels erlautert. 

Kurzbeschreibung der Zeichnung 

Es zeigt 

Fig* 1 ein Diagramm, in dem der DatenfluB mit den betei- 
ligten Komponenten symbolisiert ist. 

Beschreibung mindestens einer Ausfuhrungsform minde- 
stens der Erfindung 

In Fig. 1 sind die drei Teilnehmer an dem Verfahren, nam- 
lich die Zentrale 10, der Absender 20 und der Empfanger 30, 
durch punktstrichlierte Linien getrennt, angedeutet. 

Die Zentrale 10 enthalt einen gesicherten Speicher 11 fur 
einen geheimen Schliissel, der ansonsten beispielsweise in 
einem symmetrischen kryptographischen Verschlusslungs- 
oder Signierverfahren verwendet wird. Der Empfanger 30 
enthalt einen entsprechenden Speicher 11*, der denselben 
Schiussel enthalt. Das Einschreiben dieses Schliissels er- 
folgt beispielsweise in der Zentrale bei der Initialisierung, 
wenn es sich bei dem Empfanger 30 um eine Chipkarte han- 
delt. Andernfalls sind aus der Kryptographie bekannte 
Schliisselverteilungs verfahren anzuwenden. Dabei wird der 
Schliissel nur einmal oder in sehr groBen Zeitabstanden ge- 
speichert; fur das Verfahren nach der Erfindung ist die Spei- 
cherung als permanent anzusehen. 

Die Zentrale 10 enthalt ferner einen Sequenzgenerator 12. 
Dieser liefert eine Reihe von jeweils unterschiedlichen Zah- 
len. Im einfachsten Fall ist dies eine fortlaufende Nummer. 
Besser ist jedoch die Verwendung eines bekannten Pseudo- 
Zufallszahlengenerators, z. B. nach der Modulo-Methode. 
Bei richtiger Wahl der Parameter liefern diese Pseudo-Zu- 
fallszahlen-Generatoren eine Folge von jeweils neuen Zah- 
len, bis der durch den Modulus bestimmte Zyklus durchlau- 
fen ist. Auch konnen absteigende Nummern oder solche mit 
einer Schrittweite groBer als Eins verwendet werden. 
Gleichfalls mtfglich ist die Verwendung von Datum und 
Uhrzeit als eindeutig Sequenznummer, gegebenenfalls als 
Zahl der Sekunden seit einem verabredeten Beginn. 

Die Zentrale erzeugt also ein oder mehrere Sequenznum- 
mern 12. Aus einer solchen Sequenznummer 12 wird mittels 
des Hauptschlussels durch einen Einweg-Verschlussler 13 
ein Signierschlussel 14 gebildet. Dies geschieht am einfach- 
sten, indem die Sequenznummer 12 mittels des Haupt- 
schlussels verschliisselt wird. Hierbei wird eine kurze Se- 
quenznummer durch weitere Daten auf die Blocklange des 
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Verschlusslungsverfahrens aufgefullt. Zwar sind hierzu bi- 
nare Nullen verwendbar; besser ist eine Funktion der Se- 
quenznummer, z. B. deren Quadrat. Auch moglich ist ein 
konstanter Text, der nicht aus binaren Nullen besteht und 
vertraulich gehalten wird. Da meist die BlockgroBe in der 5 
GroBenordnung der Schlussellange liegt, ist das Ergebnis als 
Schlussel weiterverwendbar; gegebenfalls sind Bits aufzu- 
fiiilen oder durch Faltung die Bitzahl zu reduzieren. 

Wesentliche Eigenschaft des Einweg-Verschlusslers ist 
es, daB ein RuckschluB auf den Hauptschlussel praktisch 10 
nicht moglich ist. Obwohl die soeben beschriebene Methode 
keine Einweg-Verschlusslung ist, weil z. B. der Empfanger 
durch Dechiffiriem aus dem Signierschlussel die Sequenz- 
zahl bilden konnte, ist die "Einweg^Funktionalitat wesent- 

lich. 15 

Daher werden in anderen Ausfuhrungsformen andere 
Einweg-Funktion verwendet, die Hauptschlussel und Se- 
quenznummer reproduzierbar zu einem Signierschlussel 
verknupfen, ohne daB jemand ohne den Hauptschlussel zu 
einer gegebenen Sequenznummer einen gultigen Signier- 20 
schlussel bzw. umgekehrt bilden oder aus dem Signier- 
schlussel und der Sequenznummer den Hauptschlussel be- 
stimmen kann. Solche Verfahren werden allgemein als 
"Message Authentication Codes" (MAC) bezeichnet. Ein 
solcher kann insbesondere durch eine beliebige, kryptogra- 25 
phisch sichere Einweg-Funktion auf eine Kombination von 
Hauptschlussel und Sequenznummer gebildet werden. Als 
Kombination sind u. a. Konkatenation, Exklusiv-Oder, Mul- 
tipiikation mit oder ohne Modulobildung, Addition mog- 
lich. , 30 

Die Zentrale 10 stellt also ein oder mehrere Paare von Se- 
quenznummer 12 und daraus erzeugtem Signierschlussel 14 
bereit. Dies kann z. B. Ausdrucken auf Sicherheitspapier, 
durch Einspeichern in eine weitere Chipkarte oder durch 
sonstige gesicherte Datenubermittlung geschehen. Diese 35 
Paare werden dem Absender 20 vorab zur Verfugung ge- 
stellt und mussen von diesem gesichert und vertraulich ge- 
speichert werden. 

Der Absender 20, der eine Nachricht 21 an den Empfan- 
ger 30 senden mochte, entnimmt ein Paar von Sequenznum- 40 
mer 12 und Signierschlussel 14 und bestimmt die Signatur 
der Nachricht 21 mittels des Signieres 24. Bevorzugt wird 
auch hierbei das DES -Verfahren, z. B. nach ANSI X9.9, 
verwendet. Alternativ kann eine Signatur durch eine Kom- 
bination einer kryptographischen Hash-Funktion mit einem 45 
"message authentication code" erzeugt werden. Verfahren 
hierzu sind in der kryptographischen Literatur vielfach und 
ausfuhrlich beschrieben. 

Sodann bildet der Absender eine Datensatz 22, der drei 
Felder mit der Sequenznummer 22a, der Nachricht 22b und 50 
der Signatur 22c enthalt. Der soeben verwendete Signier- 
schlussel 14 wird geloscht. 

Nunmehr wird der Datensatz 22 zu dem Empfanger 30 
ubertragen, welcher damit einen Datensatz 22' erhalt, der 
wiederum drei Felder enthalt, die als Sequenznummer 22a', 55 
Nachricht 22b' und Signatur 22c' angesehen werden. Ubli- 
cherweise wird dieser Datensatz bereits von anderen Siche- 
rungs- oder Plausibilitats-Mechanismen gegen Ubertra- 
gungsfehler gesichert. 

Der Empfanger extrahiert aus dem empfangenen Daten- 60 
satz 22' die Sequenznummer 22a' und fuhrt diese zusammen 
mit dem Hauptschlussel 11' einer Einweg-Verschlusslung 
13' zu, die dieselbe wie die Einweg-Verschlusslung 13 in der 
Zentrale 10 bzw. dazu funktionsgleich'ist. Am Ausgang der 
Einweg-Funktion cntsteht ein Prufschlussel 14'. Dieser ist, 65 
wenn die Sequenznummer korrekt ubertragen wurde, gleich 
dem Signierschlussel 14, den der Absender 20 verwendet 
hat. Der Prufschlussel 14' wird zusammen mit der eingetrof- 



fenen Nachricht 22b' und der eingetroffenen Signatur 22c' 
einem Signaturprufer 38 zugefuhrt wird. Passen alle drei zu- 
einander, erzeugt der Signaturprufer 38 an seinem Ausgang 
ein Freigabesignal fur die Weiterverwendung der Nachricht. 
Der Prufschlussel 14' wird, unabhangig von dem Ergebnis, 
mit AbschluB der Prufung vemichtet. 

In einer Weiterbildung der Erfindung fiihrt der Empfanger 
eine Liste bereits benutzter Sequenzzahlen und weist Nach- 
richten mit bereits verwendeten Sequenzzahlen ab. Damit 
ist eine zusatzliche Sicherheit gegen MiBbrauch gegeben. 

Da die die Sequenzzahl bevorzugt durch einen determini- 
stischen Generator erzeugt wird, kann die Obermittlung der 
Sequenzzahl entfallen. Da ohnehin der gemeinsame Haupt- 
schlussel in gesicherter Umgebung an den Empfanger uber- 
tragen werden muB, kann zugleich der Anfangswert des Ge- 
nerators ubertragen werden. Mit jeder empfangenen Nach- 
richt erzeugt der Empfanger einen neuen Wert fur die Se- 
quenzzahl und bildet damit den Prufschlussel 14', ohne daB 
die Sequenzzahl mit ubertragen werden muB. Urn robust ge- 
genuber Doppeliibertragungen und verlorene Nachrichten 
zu sein, wird dann zweckmaBig auch einer der letzten und 
folgenden Sequenzahlen mit verwendet werden. Auch hier 
kann die Zentrale dem Absender mehrere Signierschlussel 
14 bereitstellen, die dann vom Absender in der vorgegebe- 
nen Reihenfolge verwendet werden sollen. 

Eine mogliche Anwendung der Erfindung liegt auf dem 
Gebiet der Geldausgabeautomaten. Die Zentrale ist dabei 
die Bankenzentrale, die fur die Prufung der PIN einen 
Hauptschlussel verwendet und an den Hersteller von Geld- 
automaten in der Zentrale personalisierte Priifmoduln lie- 
fert. Als Absender kommt ein Hersteller oder eine lokale 
Bankenorgansation in Betracht, die beispielsweise einen 
Umrechnungskurs oder einen Rabattsatz in den Geldausga- 
beautmaten laden mochte; aber weder einen eigenen gehei- 
men Schiiissel in den Geldautomaten einbrigen kann noch 
einen eigenen Sicherheitsmodul einbauen mochte. 

Falls kein nichtfluchtiger Speicher im Empfanger vorhan- 
den ist, kann der Empfanger auch die Sequenzzahlen von 
Anfang erzeugen und mit jeder die Signatur verproben. Der 
Verlust an Sicherheit ist dabei gering, jedoch ist keine Si- 
cherhiet gegen Doppelbenutzung gegeben. 



Patentanspriiche 

1 . Verfahren zur Signierung einer . Nachricht (22) 
durch einen Absender (20) und Prufung der Signatur 
durch einen Empfanger, wobei eine Zentrale (10) und 
ein Empfanger (30) uber einen geheimen gemeinsamen 
Hauptschlussel (11, 11') verfugen, mit den Merkmalen: 

- Die Zentrale (10) 

- erzeugt eine Sequenzzahl (12) und 

- aus dieser uhter Verwendung des Hauptschlus- 
sels (11) mittels einer Einweg-Verschlusslung 
(13) einen Signierschlussel (14) und 

- stellt dem Absender den Signierschlussel (14) 
bereit; 

- der Absender (20) 

- bildet mittels des Signierschlussels (14) eine 
Signatur (22c) uber die Nachricht (21, 22b) und 

- sendet an den Empfanger einen Nachrichten- 
satz (22), der zumindest die Nachricht (22b) und 
die Signatur (22c), enthalt. 

- Der Empfanger (30) 

- bestimmt die Sequenzzahl (22a'), 

- bildet den mittels der Einweg-Verschlusslung 
(13') und dem Hauptschlussel (11') einen Pruf- 
schlussel (14') und 

- priift damit die Signatur (22c) der Nachricht. 
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2. Verfahren nach Anspmch 1, wobei die Sequenzzahl 
(12, 22a, 22a') zusammen mit dem Signierschlussel 
(14) von der Zentrale an den Absender (20) ubergeben 
und von diesem fiber den Datensatz (22, 22') an den 
Empfanger ubergeben wird. 

3. Verfahren nach Anspruch 1, wobei die Sequenzzahl 
(12) durch einen Generator synchron zu der Ajizahl der 
verwendeten Signier- bzw. Priifschlussel in der Zen- 
trale (10) und bet dem Empfanger erzeugt wird. 

4. Verfahren nach Anspruch 1, wobei die Sequenzzahl 
(12) durch einen Generator synchron zu der Anzahl der 
verwendeten Signier- bzw. Priifschlussel in der Zen- 
trale (10) und bei dem Absender erzeugt und uber den 
Datensatz (22, 22') an den Empfanger ubergeben wird. 

5. Verfahren nach einem der vorhergehenden Anspru- 
che, wobei die Sequenzzahl durch einen Generator fur 
Pseudo-Zufailszahlen erzeugt wird. 

6. Verfahren nach einem der vorhergehenden Anspru- 
che, wobei als Ein weg-Verschluss lung die Verschlusse- 
lung der Sequenzzahl mittels des Hauptschliissels ver- 
wendet wird. 

7. Verfahren nach einem der vorhergehenden Anspru- 
che, wobei die Zentrale (10) vorab mehrere Signier- 
schlussel (14) erzeugt und diese, ggf. gemeinsam mit 
den zugehorigen Sequenzzahlen (12), an den Absender 
(30) ubermittelt. 

8. Verfahren nach einem der vorhergehenden Ansprii- 
che, wobei der Empfanger (30) eine Liste bereits ver- 
wendeter Sequenzzahlen fuhrt und bereits verwendete 
Sequenzzahlen abweist. 

9. Einrichtung zur Signierung einer Nachricht (22, 
22'), die von einem Absender (20) an einen Empfanger 
(30) geschickt wird, mit den Merkmalen: 

- Eine Zentrale (10) und der Empfanger (30) ver- 
fugen uber einen ersten und zweiten Speicher fur 
einen geheimen gemeinsamen Hauptschliissel 
(U, IT); 

- in der Zentrale (10) ist ein erster Einweg- Ver- 
schliissler (13) an einem Eingang mit dem ersten 
geschutzten Speicher (11), an einem anderen Ein- 
gang mit einem Generator (12) fiir eine Sequenz- 
zahl verbunden, 

- der Ausgang des Einweg- Verschlusslers (13) ist 
uber ein Transportmedium mit dem Absender (20) 
verbunden, 

- beim Absender ist ein Signatur-Generator (24) 
vorgesehen, dessen Eingange mit dem Ausgang 
des Einweg- VerschlUsslers und der zu signieren- 
den Nachricht (21, 22b) verbunden sind, 

- der Ausgang des Signatur-Generators (24) ist 
mit einer Einrichtung verbunden", die mindestens 
die Signatur (22c) und die Nachricht (22b) zu ei- 
nem Nachrichtenblock (22) assembliert und deren 
Ausgang uber ein Transportmedium mit dem 
Empfanger (30) verbunden ist, 

- im Empfanger ist ein Signatur-Priifer (38) vor- 
gesehen, an dessen Eingange einerseits mit der 
Nachricht (22b') und der Signatur (22c*) des uber 
das transportmedium eingetroffenen Nachrich- 
tenblocks (22*), 

- andererseits mit dem Ausgang eines zweiten 
Einweg- Verschlusslers (13*) verbunden ist, dessen 
Eingange einerseits mit dem zweiten Speicher 
(11') fur den geheimen Hauptschliissel und mit ei- 
nem Mittel zur Bereitstellung einer Sequenznum- 
mer (22a*) verbunden ist. 

10. Einrichtung nach Anspruch 9, wobei ein Generator 
die Sequenzzahl. (22a 1 ) nach einem deterministischeo 



Verfahren ein oder meherere Sequenzzahlen entspre- 
chend der Anzahl der Priifungen erzeugt. 
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